Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 4874 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't get IPsec VPN working. Assistance Please

SalishSwede
I'm using a basic IPsec VPN setup with L2TP.
nothing seems terribly complicated other than the connections are not being made.

Can anyone help me with this.  This is an important part of this product and I'm wondering why so many people are having problems with it.

It appears that my WinXP client is asking to kill the connection after several seconds.  I belieev I have followed the instructions correctly.  Perhaps there are things missing in the instructions.

Here are the logs from Astaro:

4:00:36 (none) pluto[1938]: packet from 10.2.0.49:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000004]
2005:08:09-14:00:36 (none) pluto[1938]: packet from 10.2.0.49:500: ignoring Vendor ID payload [FRAGMENTATION]
2005:08:09-14:00:36 (none) pluto[1938]: packet from 10.2.0.49:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] method set to=106
2005:08:09-14:00:36 (none) pluto[1938]: packet from 10.2.0.49:500: ignoring Vendor ID payload [Vid-Initial-Contact]
2005:08:09-14:00:36 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #5: responding to Main Mode from unknown peer 10.2.0.49
2005:08:09-14:00:36 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #5: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1
2005:08:09-14:00:36 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #5: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: no NAT detected
2005:08:09-14:00:37 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #5: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
2005:08:09-14:00:37 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #5: Main mode peer ID is ID_IPV4_ADDR: '10.2.0.49'
2005:08:09-14:00:37 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #5: I did not send a certificate because I do not have one.
2005:08:09-14:00:37 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #5: transition from state STATE_MAIN_R2 to state STATE_MAIN_R3
2005:08:09-14:00:37 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #5: sent MR3, ISAKMP SA established
2005:08:09-14:00:37 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #5: Dead Peer Detection (RFC 3706): not enabled because peer did not advertise it
2005:08:09-14:00:37 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #6: responding to Quick Mode {msgid:e3fe3c6a}
2005:08:09-14:00:37 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #6: transition from state STATE_QUICK_R0 to state STATE_QUICK_R1
2005:08:09-14:00:37 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #6: Dead Peer Detection (RFC 3706): not enabled because peer did not advertise it
2005:08:09-14:00:37 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #6: transition from state STATE_QUICK_R1 to state STATE_QUICK_R2
2005:08:09-14:00:37 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #6: IPsec SA established {ESP=>0x86d7fc84 


This thread was automatically locked due to age.
Parents
  • 0
    Have you actually enabled any users as L2TP capable? It seems to be that the L2TP daemon is not started.

    Stephan
  • 0 in reply to Stephan_Scholz
    Thanks for the response.
    Yes I have one user enabled for both PPTP and L2TP IPsec in the user definition section.  I assume this is what you mean.  Do you know off hand how I can check on the status of the daemon in question via ssh?

    Thanks

    ~D
  • 0 in reply to SalishSwede
    OK, so the user is there. There should be a process in the process table called l2tpd. As soon as a connection is negotiated, you should additionally see a pppd-l2tp. Check whether the l2tpd is running. If not, please disable and enable IPSec in WebAdmin and see if l2tpd is started. If it is not started, please check the settings in "IPSec VPN->L2TP over IPSec".

    Stephan
  • 0 in reply to Stephan_Scholz
    30246 ?        00:00:00 l2tpd

    This is the process in question.  It is running and seems not to be heavily utilized.  What else should I check?
  • 0 in reply to SalishSwede
    Here is /var/log/ipsec.log from the 9th.

    Perhaps you could suggest a specific set actions which could be logged.  I could turn on verbose logging and we could take a look at the details.

    2005:08:09-13:47:18 (none) pluto[1938]: packet from 10.2.0.49:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000004]
    2005:08:09-13:47:18 (none) pluto[1938]: packet from 10.2.0.49:500: ignoring Vendor ID payload [FRAGMENTATION]
    2005:08:09-13:47:18 (none) pluto[1938]: packet from 10.2.0.49:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] method set to=106 
    2005:08:09-13:47:18 (none) pluto[1938]: packet from 10.2.0.49:500: ignoring Vendor ID payload [Vid-Initial-Contact]
    2005:08:09-13:47:18 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #1: responding to Main Mode from unknown peer 10.2.0.49
    2005:08:09-13:47:18 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #1: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1
    2005:08:09-13:47:19 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #1: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: no NAT detected
    2005:08:09-13:47:19 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #1: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
    2005:08:09-13:47:19 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #1: Main mode peer ID is ID_IPV4_ADDR: '10.2.0.49'
    2005:08:09-13:47:19 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #1: I did not send a certificate because I do not have one.
    2005:08:09-13:47:19 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #1: transition from state STATE_MAIN_R2 to state STATE_MAIN_R3
    2005:08:09-13:47:19 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #1: sent MR3, ISAKMP SA established
    2005:08:09-13:47:19 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #1: Dead Peer Detection (RFC 3706): not enabled because peer did not advertise it
    2005:08:09-13:47:19 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #2: responding to Quick Mode {msgid:1005624a}
    2005:08:09-13:47:19 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #2: transition from state STATE_QUICK_R0 to state STATE_QUICK_R1
    2005:08:09-13:47:19 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #2: Dead Peer Detection (RFC 3706): not enabled because peer did not advertise it
    2005:08:09-13:47:19 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #2: transition from state STATE_QUICK_R1 to state STATE_QUICK_R2
    2005:08:09-13:47:19 (none) pluto[1938]: "S_DMZ_L2TP_1"[1] 10.2.0.49 #2: IPsec SA established {ESP=>0x2648cada 0xafe403bb 0x86d7fc84 
  • 0 in reply to SalishSwede
    Nobody can figure this out?

    This is pertty basic.  I need a VPN.  Anyone?
  • 0 in reply to Stephan_Scholz
    As usual, these basic questions lead nowhere.

    Can anyone help me?
  • 0 in reply to SalishSwede
    hey! 

    its quite easy, check your posted log! 

    something like this lines

    05:08:09-13:50:48 (none) pluto[1938]: forgetting secrets
    2005:08:09-13:50:48 (none) pluto[1938]: loading secrets from "/etc/ipsec.secrets"
    2005:08:09-13:50:48 (none) pluto[1938]: Changing to directory '/etc/ipsec.d/cacerts'
    2005:08:09-13:50:48 (none) pluto[1938]: Could not change to directory '/etc/ipsec.d/aacerts'
    2005:08:09-13:50:48 (none) pluto[1938]: Could not change to directory '/etc/ipsec.d/ocspcerts'
    2005:08:09-13:50:48 (none) pluto[1938]: Changing to directory '/etc/ipsec.d/crls'
    2005:08:09-13:50:48 (none) pluto[1938]: Warning: empty directory
    2005:08:09-13:50:48 (none) ipsec_starter[1934]: Reloading config...
    2005:08:09-13:50:48 (none) ipsec_starter[1934]: Reloading all secrets...
    2005:08:09-13:50:48 (none) pluto[1938]: forgetting secrets
    2005:08:09-13:50:48 (none) pluto[1938]: loading secrets from "/etc/ipsec.secrets"
    2005:08:09-13:50:48 (none) pluto[1938]: Changing to directory '/etc/ipsec.d/cacerts'
    2005:08:09-13:50:48 (none) pluto[1938]: Could not change to directory '/etc/ipsec.d/aacerts'
    2005:08:09-13:50:48 (none) pluto[1938]: Could not change to directory '/etc/ipsec.d/ocspcerts'
    2005:08:09-13:50:48 (none) pluto[1938]: Changing to directory '/etc/ipsec.d/crls'
    2005:08:09-13:50:48 (none) pluto[1938]: Warning: empty directory
    2005:08:09-13:50:49 (none) l2tpd[1960]: death_handler: Fatal signal 15 received
    2005:08:09-13:50:49 (none) l2tpd[29939]: This binary does not support kernel L2TP.
    2005:08:09-13:50:49 (none) l2tpd[29940]: l2tpd version 0.69 started on wahine.ravennaspring
  • 0 in reply to bSue
    Hello All,

    I'm Having the exact same problem as original poster. My log extracts look the same. Running on ASL 6.201, client is Windows XP SP2. Any chance that this would have been resolved?


    -- 
    Heikki M
Reply
  • 0 in reply to bSue
    Hello All,

    I'm Having the exact same problem as original poster. My log extracts look the same. Running on ASL 6.201, client is Windows XP SP2. Any chance that this would have been resolved?


    -- 
    Heikki M
Children
  • 0 in reply to hma
    Hello All,

    I'm Having the exact same problem as original poster. My log extracts look the same. Running on ASL 6.201, client is Windows XP SP2. Any chance that this would have been resolved?


    OK, nothing here. So basically Astaro doesn't support L2TP. Doesn't work. L2TP daemon won't function properly. The IPSEC SA is established correctly but nothing happens then.

    Funny because it was sold to me with the mention that it would work and they even have documentation how to set it up (which I have followed to the letter).

    Anyone?
  • 0 in reply to hma
    If it would be so easy, it would be boring.
    There are around 30 resons, why your connection can't establish. Thats the problem.
  • 0 in reply to NimmdirKeks
    Ok,

    so would it be possible for someone here who probably knows those 30 reasons to explain them? And also explain why, when done to the letter of the official documentation, some of those 30 reasons can still go wrong?

    For what I see, the IPSEC connection is established fast and correctly, nothing strange there. It's just that the L2TP daemon is not doing anything to establish the PPP side of things with XP. The configuration itself is so straightforward in both Windows and Astaro that I cannot see what the 30 possible reasons are..?
Cookie Information Banner